Wie funktioniert dieses Phishing?

08/12/2015 - 12:00 von Martin Gerdes | Report spam
Mir ist gerade eine Phishing-Mail ins Postfach geraten.

Sie lautet:

| Ihre TAN-Liste muss aus Sicherheitsgründen überprüft werden.
| Sollten Sie die Prüfung nicht innerhalb von 2 Werktagen
| kostenfrei abschließen wird Ihnen eine neue Liste gegen
| eine Bearbeitungsgebühr von 19,90€ zugesandt.

Klar.

| Um die Prüfung abzuschließen folgen Sie dem Link am Ende
| der Email ...

Ja, das habe ich natürlich schon gemerkt.


Mich interessiert, was dieser Link macht.

[Achtung! Potentiell gefàhrlich]
<https://www.google.com/url?sa=t&...amp;cad=rj
a&uact=8&ved=0ahUKEwjBzNm0nsnJAhWG6xQKHdldANcQFggnMAA&url=http%3A%2F%2F
www.katrinalynneducationalservices.com%2Ffinancial-aid-preparation.html
&usg¯QjCNGSvymrz8X2K8RbV6_k45TPNabTgA&sig2=NTnTZ2b7KsJcr13JS3CPsg&bvm
=bv.108538919,d.d24>
[/]

Klar, hier wird Google aufgerufen, die Zieladresse ist in obigem Block
ja noch klar erkennbar.

Rufe ich diese Adresse auf (auch direkt, also nach "Herauspràparieren"
des nackten Links), àndert sich die Adressleiste meines Browsers, dann
steht dort drin:

data:text/html;https://commerzbank.de;base64,PCFET0NUWV (und noch
etwa 15000 Zeichen dahinter)

Es erscheint (wie üblich) eine gefakte Bankseite. Soweit klar.

Ich habe dort nichts eingegeben, noch nicht einmal die Daten von "Peter
Mustermann."

Gewohnheitsmàßig habe ich ins Menü gegriffen "Betrugsversuch melden" --
aber hoppala! Der Menüpunkt für diesen Tab ausgegraut. Offensichtlich
steckt in der Adreßleiste ein base64-kodiertes, somit menschenunlesbarer
Text.

Ich habe diesen Base-64-Text dann dekodieren lassen -- und war erstaunt.
Erwartet hàtte ich ein Javascript, das ist es aber nicht, sondern auf
den ersten Blick normales HTML.

Staun! Ich habe nicht gewußt, daß man eine komplette HTML-Seite in die
Adreßzeile stopfen kann. Wozu braucht man so etwas? Oder ist das quasi
implizit?

Was machen die da?
 

Lesen sie die antworten

#1 Arno Welzel
08/12/2015 - 16:11 | Warnen spam
Am 2015-12-08 um 12:00 schrieb Martin Gerdes:

[...]
Staun! Ich habe nicht gewußt, daß man eine komplette HTML-Seite in die
Adreßzeile stopfen kann. Wozu braucht man so etwas? Oder ist das quasi
implizit?

Was machen die da?



Vermutung: Phishing-Filter umgehen, weil es keine URL mehr ist, die der
Browser gegen entsprechende Listen prüfen könnte bzw. dort wird das nie
auftauchen, weil Nutzer ja, wie Du auch bemerkt hast, das nicht melden
können.


Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de

Ähnliche fragen